iptables filter表案例/iptables nat表应用

iptables filter表案例

iptables filter 表案例

创建一个iptables.sh脚本

[root@hch ~]# vim /usr/local/sbin/iptables.sh

写入脚本内容:

ipt="/usr/sbin/iptables"//定义一个环境变量(下面$ipt就等同于

/usr/sbin/iptables的绝对路径了)

$ipt -F//清空之前规则(没有-t,默认是执行的filter)

$ipt -P INPUT DROP//定义策略 (INPUT策略 DROP掉)

$ipt -P OUTPUT ACCEPT//定义策略(OUTPUT策略 ACCEPT接受)

$ipt -P FORWARD ACCEPT// 定义策略(FORWARD策略 ACCEPT接受)

$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT//增加规则(RELATED状态,ESTABLISHED状态放行)

$ipt -A INPUT -s192.168.135.0/24-p tcp --dport22-j ACCEPT//增加规则(192.168.223网段访问22端口的数据包放行)

$ipt -A INPUT -p tcp --dport80-j ACCEPT//增加规则(80端口数据包方行)

$ipt -A INPUT -p tcp --dport21-j ACCEPT//增加规则(21端口数据包放行)

完成脚本后保存退出,接着运行这个脚本;

[root@hch ~]# sh /usr/local/sbin/iptables.sh

最后再来查看以下规则;

[root@hch ~]# iptables -nvL

Chain INPUT (policy DROP 31 packets, 5272 bytes)

pkts bytes target    prot opt in    out    source              destination       

    6  448 ACCEPT    all  --  *      *      0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

    0    0 ACCEPT    tcp  --  *      *      10.2.32.0/23        0.0.0.0/0            tcp dpt:22

    0    0 ACCEPT    tcp  --  *      *      0.0.0.0/0            0.0.0.0/0            tcp dpt:80

    0    0 ACCEPT    tcp  --  *      *      0.0.0.0/0            0.0.0.0/0            tcp dpt:21

恢复默认规则;

[root@hch ~]# service iptables restart

关于icmp的包比较常见的应用,执行以下命令;

[root@hch ~]# iptables -I INPUT -p icmp --icmp-type 8 -j DROP

这条命令会禁止别人ping不通本机,但是本机可以ping通外网

删除这条规则命令如下;

[root@hch ~]# iptables -D INPUT -p icmp --icmp-type 8 -j DROP

iptables nat表应用

在日常生活中接触到的路由器,它的功能就是分享上网,本来一根网线过来(其实只有一个公网IP),通过路由器后,路由器分配一个网段(私网IP),这样连接路由器的多台PC或者手机等设备都能连接上网了,而远端的设备认为你的IP就是那个连接路由器的公网IP。这个路由器的功能其实就是由linux的iptables实现的,而iptables又是通过nat表作用而实现的。

以下举个例子说明,假设你的两台机器,A机器有两块网卡ens33和ens37,其中ens33的IP为10.2.33.71,ens37的IP为192.168.100.1,ens33网卡连接了因特网,但ens37没有连接。现在B机器有个的ens37网卡和A机器的ens37是互通的,如何设置才能让连接ens33的A机器连接因特网,和110.2.33.71互通呢,操作如下;

[root@hch ~]# echo "1" > /proc/sys/net/ipv4/ip_forward

[root@hch ~]# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE

在此之前如果使用的是虚拟机演戏的话,需要预备几步工作;

先对A机器进行操作设置,添加网卡

编辑虚拟机设置——选中:网络适配器——添加:网络适配器——点击:下一步——保持默认:NAT模式——点击: 完成—— 选中:网络适配器 2——选择:LAN 区段——添加:自定义名称——确定——选中刚刚添加的新LAN段 ——确定




这里A机器就设置好了,B机器和A机器设置操作一样,只是需要先把原本B机器上可以连接的网卡断掉禁用掉,已方便操作,禁掉操作如下;


这里记住A、B机器选择的LAN区段一定要一致。

[root@hch ~]# 

接下来ifconfig查给A、B机器新网卡同时设置临时IP;

[root@hch ~]#  ifconfig ens37 10.2.33.81/23

[root@hch ~]#  ifconfig ens37 10.2.33.85/24

B机器为了更好的演示操作,可以ifdown掉ens33网卡

[root@hch ~]#  ifdown ens33

这样准备工作就做好了,可以用ping命令检测以下A、B机器是否能相互ping通内网和外网,如果以上操作正确的话,得到的结果是A机器能ping通外网和内网,而B机器只能ping通内网。

接下来就是让A机器的ens37设置的能够连接外网

[root@hch ~]#  echo "1" > /proc/sys/net/ipv4/ip_forward //打开端口转发 

[root@hch ~]#  iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE //增加规则

我们可以执行以下命令查看设置结果

[root@hch ~]#  cat /proc/sys/net/ipv4/ip_forward //默认是0端口关闭,1则是打开

1

[root@hch ~]#  iptables -t nat -nvL

再来给B机器设置网关以及修改DNS;

[root@hch ~]# route add default gw 192.168.100.1

[root@hch ~]# vi /etc/resolv.conf

写入公共DNS:119.29.29.29保存并退出

这样B机器技能ping通A机器也能ping通外网了,比如你ping一个A机器可以连接外网IP的地址或则ping百度或者腾讯的地址

远程访问B机器

删掉A机器之前设定的nat表的规则;

[root@hch ~]# iptables -t nat -D POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE

重新设定一个nat表的规则(针对进去的数据包)

[root@hch ~]# iptables -t nat -A PREROUTING -d 10.2.33.71 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22

在设定一个nat表的规则(针对回来的数据包)

[root@hch ~]# iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 10.2.33.71

给B机器设置网关;

[root@hch ~]# route add default gw 192.168.100.1

最后在Xshell设置一个远程登录到IP地址为192.168.135.133端口为1122的服务器即可。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,076评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,658评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,732评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,493评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,591评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,598评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,601评论 3 415
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,348评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,797评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,114评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,278评论 1 344
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,953评论 5 339
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,585评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,202评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,442评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,180评论 2 367
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,139评论 2 352

推荐阅读更多精彩内容

  • -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp...
    LL1502阅读 887评论 0 0
  • 目录 iptables命令及参数介绍 配置Filter表防火墙 配置NAT表防火墙 1. iptables命令及参...
    garyond阅读 85,827评论 1 43
  • iptables 附件CC攻击器-邪恶十六进制2.0 模拟cc攻击python写的暴力破解的脚本 模拟...
    运维阿文阅读 2,140评论 0 1
  • 时光就这样快快地走过,自己还在恍惚间,但它已留下了痕迹,那就是年龄,没觉得这几年过的是如此之快,自己都二十...
    悦小小阅读 431评论 2 2
  • 真不知道应该说些什么 或者写些什么 这是我与我的食物
    平二爷阅读 129评论 0 0